Dans le coin conformité de ce mois-ci, le mécanicien de cabinet Rick Garofolo explique la différence entre PII et PHI, et montre pourquoi nous devons reconnaître la différence.
Au moins une fois par jour, quelqu’un me demande la différence entre les informations de santé protégées (PHI) et les informations personnellement identifiables (PII).
Dans un cabinet dentaire, nous avons les deux et devons les protéger avec le même niveau de soin.
D’autres entreprises, comme les banques et les institutions financières, ont des règles similaires concernant les PII, mais nous, dans les domaines dentaire et médical, avons la chance d’avoir HIPAA. Cela signifie que nous devons protéger non seulement les DPI mais aussi les PHI.
Donc, quelle est la différence ?
Qu’est-ce que les DPI
Les informations personnellement identifiables, ou DPI, sont toutes les données qui peuvent être utilisées pour contacter, localiser ou identifier une personne spécifique. Ces données peuvent être utilisées seules ou combinées avec d’autres sources facilement accessibles, comme Internet.
Voici un aperçu des éléments de données qui pourraient être utilisés pour identifier un individu comprennent :
- Des empreintes digitales ou des données biométriques – par exemple, mon ordinateur portable utilise mon empreinte digitale pour se connecter à
- Des numéros de téléphone
- Des adresses électroniques
- Des numéros de sécurité sociale
- Des photos du visage complet
- Des photos de toute caractéristique reconnaissable, comme un tatouage
- Numéros d’identification des membres de l’assurance
- Dates liées à la naissance ou au décès
- Codes postaux
- Numéros de compte
Ces éléments sont tous considérés comme des DPI.
Nous nous appuyons sur les DPI depuis longtemps, mais leur protection est devenue une plus grande préoccupation ces derniers temps en raison de l’augmentation des incidents de piratage.
Les avancées technologiques et l’utilisation généralisée des ordinateurs exigent que nous prenions encore plus de mesures pour protéger les DPI de nos patients. Les virus de type cheval de Troie, les rançongiciels, les logiciels espions et les logiciels malveillants créent des occasions pour les gens de voler les DPI, et les PHI.
Les directives de l’HIPAA exigent que nous prenions toutes les mesures de protection raisonnables et appropriées possibles pour protéger ces informations.
Des choses comme un logiciel anti-virus, ne pas permettre à votre équipe de vérifier le courrier électronique personnel sur un ordinateur de travail, et ne pas permettre à quiconque autre qu’un administrateur de réseau d’installer un programme sur un poste de travail dans votre bureau.
Qu’est-ce que les PHI
Les informations de santé personnelles, PHI, sont quelque chose que nous sommes probablement plus familiers.
Les RPS sont des informations créées, transmises, reçues ou conservées par une entité couverte – votre cabinet dentaire – qui sont liées à l’un des éléments suivants :
- Santé ou état passé, présent ou futur d’un individu
- Prestation de soins de santé à un individu – ce que vous avez fait et ce que vous pourriez faire
- Paiement passé, présent ou futur pour la prestation de soins de santé à un individu
- Oui, les entrées du grand livre sont des PHI et considérées comme faisant partie du dossier
Ces choses doivent être accompagnées d’un identifiant, ou PII, comme le nom, l’adresse, le numéro de sécurité sociale, l’adresse électronique ou une subdivision géographique plus petite qu’un état – comme le comté, la paroisse ou la ville – ainsi que beaucoup d’autres.
Donc, si le nom de votre patient figure sur son dossier, il s’agit de PHI.
L’adresse électronique liée à son compte ? PHI.
Numéro de téléphone ? Oui!
Photo de face ? Vous l’avez deviné !
Focalisation accrue sur les PII et PHI
Alors, pourquoi est-ce devenu récemment non seulement une partie importante de la conformité HIPAA, mais quelque chose sur lequel de nombreux gouvernements mettent une concentration extrême ?
En bref, la collecte et la vente de PII sur une base légale est une entreprise très rentable.
Je reçois des courriels tout le temps de personnes vendant une liste de 100 000 adresses électroniques de dentistes pour 1 000 $. Ce n’est pas une mauvaise affaire si j’en tire de nouvelles affaires, mais c’est aussi une énorme violation des conditions générales de la plupart des systèmes de messagerie.
Je ne peux pas utiliser des listes de courriels achetées. Cependant, de nombreuses sociétés de marketing utiliseront des listes d’emails achetés – c’est de là que vient le SPAM.
Oublions les emails SPAM pendant une minute et allons plus en profondeur. Il y a des pays qui n’ont pas de lois sur la vie privée où il est parfaitement légal de faire du marketing auprès de personnes avec des informations volées.
Pensez aux ramifications de quelqu’un qui découvrirait que j’ai une ordonnance pour un anticoagulant. Tout à coup, je reçois des tonnes de courriers et de courriels sur d’autres marques que je devrais demander à mon médecin.
Vous avez déjà reçu un de ces courriels et vous vous êtes demandé comment ils le savaient ? Quelque part, un bureau avec vos antécédents médicaux a eu une violation – signalée ou non – et c’est là qu’ils ont obtenu l’information.
La vente d’informations personnelles d’autres personnes est une profession incroyablement lucrative, légale ou non. En fait, les illégales sont encore plus rentables que les légales.
Veuillez prendre au sérieux la sauvegarde de ces informations.
Protégez les données de vos patients avec le même soin que vous voudriez que votre médecin protège les vôtres.
Mettez en place des politiques, appliquez-les et assurez-vous que vous savez ce qu’est une PII, ce qu’est une PHI et, tout aussi important, ce qui ne l’est pas !
Découvrez comment RevenueWell améliore l’acceptation des cas et crée des relations plus étroites entre les dentistes et leurs patients.